瑞星卡卡安全论坛

病毒名称
RootKit.Win32.Undef.hh
目录
C:\WINDOWS\system32\drivers\vivo.sys

根据[流行病毒专区]的回帖,我把附件发到这里了,希望尽快解决.


回复：求助:关于RootKit.Win32.Undef.hh
扫描日志的方法：
使用System Repair Engineer扫描日志，将日志作为附件上传上来。
下载页面：http://kztechs.com/sreng/download.html
操作方法：
1、下载后解压缩sreng2.zip；
2、运行SREngPS.EXE；
3、依次点击【智能扫描】-【扫描】；
4、耐心等待，扫描结束后点击【保存报告】；
5、选择保存路径，文件名保持默认，直接点击【保存】；
6、打开保存的日志文件SREngLOG.log，完整复制全部内容，新建一个文本文档，将日志中的全部内容粘贴到“新建文本文档.txt”中；
7、将“新建文本文档.txt”作为附件上传，同时务必详细描述问题现象，如果有查杀不净的病毒务必提供病毒名和路径。
注意：扫描前请尽量关闭QQ、游戏、下载工具、媒体播放器等应用程序。
扫描后，将日志文件上传到反病毒版块：http://bbs.ikaka.com/showforum-28.aspx

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)

附件: 新建 文本文档.txt

1.用XDelBox勾选抑制再生后删除以下文件：(XDelBox1.7支持奥运版下载)
使用说明：删除时复制所有要删除文件的路径，在待删除文件列表里点击右键选择从剪贴板导入不检查路径，导入后在要删除文件上点击右键，选择立刻重启删除，电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储介质（包括U盘，MP3，手机存储卡等）。

c:\windows\system32\rarjdpi.dll
c:\program files\common files\microsoft shared\msinfo\system6.ins
c:\windows\system32\j1g4x55cpr.dll
c:\windows\system32\drivers\4tojo.sys
c:\windows\system32\drivers\vivo.sys
c:\windows\system32\drivers\comint32.sys
c:\windows\system32\drivers\comint32.sys
c:\windows\system32\jytdpkoodnxfk.dll

2.删除重启后使用SREng修复下面各项：

    启动项目 －－ 注册表之如下项删除：
[{4598FF45-DA60-F48A-BC43-10AC47853D54}] 
[{37C3125C-9CB6-4503-8F38-63D80ADEFA07}] 
注意该项[AppInit_DLLs]修改：把<rarjdpi.dll>修改为<>即清空
[j1g4x55cpr]   

    启动项目 －－ 服务－－ 驱动程序之如下项删除：
[4tojo / 4tojo] 
[viv / vivo] 
[comint32 / comint32]
[RAS Asynchronous Media Driver / AsyncMac] 

    系统修复－－　浏览器加载项之如下项删除：
[]    <C:\WINDOWS\system32\jytdpkoodnxfk.dll>

清理系统临时文件和IE临时文件夹
http://www.atribune.org/public-beta/ATF-Cleaner.exe
用金山清理专家清理恶意软件
http://www.duba.net/zt/ksc/down.shtml
下载 windows清理助手清理一遍
http://www.arswp.com/download/arswp2/arswp2.zip

清理一次

用附件的XDELBOX删除文件
C:\Program Files\Common Files\Microsoft Shared\MSINFO\System6.ins
C:\WINDOWS\system32\rarjdpi.dll
C:\WINDOWS\system32\jytdpkoodnxfk.dll
C:\WINDOWS\system32\DRIVERS\comint32.sys
C:\WINDOWS\system32\DRIVERS\4tojo.sys


从剪贴板导入，重起删除

重起以后
用SRENG删除
注册表中
  <{37C3125C-9CB6-4503-8F38-63D80ADEFA07}><C:\Program Files\Common Files\Microsoft Shared\MSINFO\System6.ins>  [N/A]
    <{4598FF45-DA60-F48A-BC43-10AC47853D54}><C:\WINDOWS\system32\rarjdpi.dll>  [N/A]
编辑[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
    <AppInit_DLLs><rarjdpi.dll>  [N/A]为空



删除驱动程序
[4tojo / 4tojo][Stopped/Boot Start]
  <\SystemRoot\system32\drivers\4tojo.sys><N/A>
[comint32 / comint32][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\DRIVERS\comint32.sys><N/A>


删除浏览器加载
[]
  {192C0424-8358-4EB4-B62D-F91821BC0745} <C:\WINDOWS\system32\jytdpkoodnxfk.dll, N/A>

附件: xdelboxnN.rar

先谢谢斑主
不过的方法好复杂~~我不是搞专业编程的,照这么弄还不如重新格边系统来的方便
我想问下瑞星下个版本能把这病毒给搞定么?
因为我电脑里有好多软件,格了系统又得从新装其他软件,很麻烦.

他那方法一点不烦

只是你没去做而已

你做了，就知道不烦了

那我试试:default21:

楼主还是试试手动杀吧,按照版主方法做吧,以后如果再中病毒就知道怎么杀了!:default6:

按照斑主说的第1步就出了问题,有4个文件找不到.我开了文件夹选项里的显示所有文件和受保护文件也没找到.
c:\windows\system32\rarjdpi.dll
c:\program files\common files\microsoft shared\msinfo\system6.ins
c:\windows\system32\drivers\comint32.sys
c:\windows\system32\drivers\comint32.sys

第1个只有rarjdni.dll 其他的完没有
请斑主指点一下.

还有XDelBox1.7是一个一个删除文件,还是可以同时删除选择文件?

可以同时删除
至于找不到，很正常
你肯定用过瑞星杀过毒，那几个病毒已经被干掉了，只有启动项而已~

:kaka3:

为什么就不能把操作步骤认真看完后再进行呢？

那使用说明你让我怎么说我也说不出比他具体的了

我就是想让斑竹确定一下,我好放心~~~

感谢各位斑主,尤其豪斯登堡新郎斑主,还有那位热心的同志,问题已经解决了
谢谢各位了,继续支持瑞星:default6: